virusbursters / ismini / ishost virus und trojaner

Thema ist geschlossen!
Thema ist geschlossen!
#0
31.10.2006, 12:04
...neu hier

Beiträge: 6
#1 ich hab alle 5 punkte zur erstellung eines threads abgearbeitet. siehe unten

zunaechst die beschreibung:
virusbursters.exe hat sich installiert, ismini, issearch, ishost sind nicht loeschbar und nicht beendbar, antivir hat das ganze zugelassen und nicht erkannt
internetexplorer (6.0.29) hat eine art toolbar installiert und geht auf automatisch die seite www.iewarning.com
desktop shortcuts "security troubleshooting" und "online security guide" wurden erstellt, in der taskleiste rechts steht "critical system errors!" und popt gelegentlich auf, und virusbusters 6.2 logo (letzteres ist jetzt verschwunden nach abarbeitung der 5 punkte)

HIJACKLOGFILE:


Logfile of HijackThis v1.99.1
Scan saved at 11:16:36 AM, on 10/31/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ismini.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\VirusBursters\virusbursters.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\2\virusss\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {c3703265-4671-4858-92a4-cba6a7b3bb45} - C:\WINDOWS\system32\ixt2.dll
O3 - Toolbar: Safety Bar - {052b12f7-86fa-4921-8482-26c42316b522} - C:\Programme\Safety Bar\SafetyBar.dll
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{91F6F3D9-CDAB-4C59-B1BB-9CC10F3D22BB}: NameServer = 192.168.1.1
O21 - SSODL: clamoring - {0d9eb558-0666-479e-868a-21b1d1a53bd1} - C:\WINDOWS\system32\veklo.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe

COMBOFIXREPORT:

chris - 06-10-31 11:29:50.37 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\2\virusss"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\ixt0.dll
C:\WINDOWS\system32\ixt1.dll
C:\WINDOWS\system32\components
C:\WINDOWS\system32\ixt2.dll
C:\Programme\Safety Bar


((((((((((((((((((((((((((((((( Files Created from 2006-09-31 to 2006-10-31 ))))))))))))))))))))))))))))))))))


2006-10-31 01:02 106,496 --a------ C:\WINDOWS\system32\veklo.dll
2006-10-29 10:46 520,192 --------- C:\WINDOWS\system32\ati2sgag.exe
2006-10-29 10:45 77,824 --a------ C:\WINDOWS\system32\Oemdspif.dll
2006-10-29 10:45 61,440 --a------ C:\WINDOWS\system32\ati2evxx.dll
2006-10-29 10:45 6,684,672 --a------ C:\WINDOWS\system32\atioglx1.dll
2006-10-29 10:45 53,248 --a------ C:\WINDOWS\system32\ATIDDC.DLL
2006-10-29 10:45 5,124,096 --a------ C:\WINDOWS\system32\atioglxx.dll
2006-10-29 10:45 405,504 --a------ C:\WINDOWS\system32\ati2evxx.exe
2006-10-29 10:45 40,960 --a------ C:\WINDOWS\system32\drivers\ati2erec.dll
2006-10-29 10:45 40,960 --a------ C:\WINDOWS\system32\ati2edxx.dll
2006-10-29 10:45 307,200 --a------ C:\WINDOWS\system32\atiiiexx.dll
2006-10-29 10:45 282,624 --a------ C:\WINDOWS\system32\ATIDEMGR.dll
2006-10-29 10:45 26,112 --a------ C:\WINDOWS\system32\Ati2mdxx.exe
2006-10-29 10:45 24,064 --a------ C:\WINDOWS\system32\ativcoxx.dll
2006-10-29 10:45 17,408 --a------ C:\WINDOWS\system32\atitvo32.dll
2006-10-29 10:45 151,552 --a------ C:\WINDOWS\system32\atikvmag.dll
2006-10-29 10:45 114,688 --a------ C:\WINDOWS\system32\atipdlxx.dll
2006-10-27 11:28 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll
2006-10-27 11:28 271,360 --a------ C:\WINDOWS\system32\drivers\atksgt.sys
2006-10-27 11:28 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll
2006-10-27 11:28 18,048 --a------ C:\WINDOWS\system32\drivers\lirsgt.sys
2006-10-27 11:09 101,376 --a------ C:\WINDOWS\system32\drivers\ACEDRV07.sys
2006-10-13 13:59 233,472 C:\WINDOWS\system32REX Shared Library.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-10-31 11:22 -------- d-------- C:\Programme\CleanUp!
2006-10-31 09:25 -------- d-------- C:\Programme\VirusBursters
2006-10-29 10:46 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-29 10:46 -------- d-------- C:\Programme\ATI Technologies
2006-10-28 19:13 -------- d-------- C:\Dokumente und Einstellungen\chris\Anwendungsdaten\InstallShield
2006-10-28 14:12 -------- d-------- C:\Programme\PlayLinc
2006-10-27 23:04 -------- dr-h----- C:\Dokumente und Einstellungen\chris\Anwendungsdaten\SecuROM
2006-10-27 11:28 -------- d-------- C:\Programme\Gemeinsame Dateien\Microsoft Shared
2006-10-26 20:42 -------- d-------- C:\Dokumente und Einstellungen\chris\Anwendungsdaten\Apple Computer
2006-10-26 20:40 -------- d-------- C:\Programme\QuickTime
2006-10-14 21:00 -------- d-------- C:\Programme\US122_Install
2006-10-13 13:59 233472 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2006-09-28 22:16 -------- d-------- C:\Programme\Waves
2006-09-23 13:07 -------- d-------- C:\Dokumente und Einstellungen\chris\Anwendungsdaten\Propellerhead Software
2006-09-23 13:06 -------- d-------- C:\Programme\Recycle
2006-09-21 14:17 -------- d-------- C:\Programme\Synful
2006-09-20 11:11 -------- d-------- C:\Programme\Native Instruments
2006-09-17 11:16 -------- d-------- C:\Programme\Zero-G
2006-09-16 21:35 -------- d-------- C:\Programme\Steinberg
2006-09-14 23:06 -------- d-------- C:\Programme\Spectrasonics
2006-09-14 20:59 -------- d-------- C:\Programme\MediaCoder
2006-09-14 20:28 -------- d-------- C:\Dokumente und Einstellungen\chris\Anwendungsdaten\Ahead
2006-09-14 20:24 -------- d-------- C:\Programme\Nero
2006-09-14 17:23 94080 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\ezplay.sys
2006-09-14 17:23 81920 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\ezpinst.exe
2006-09-14 17:23 7176 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\pcouffin.cat
2006-09-14 17:23 7172 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\ezplay.cat
2006-09-14 17:23 55 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\pcouffin.log
2006-09-14 17:23 47360 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\pcouffin.sys
2006-09-14 17:23 33 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\YCJCPCNG.log
2006-09-14 17:23 1144 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\pcouffin.inf
2006-09-14 17:23 1104 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\YCJCPCNG.inf
2006-09-14 17:23 -------- d-------- C:\Dokumente und Einstellungen\chris\Anwendungsdaten\Vso
2006-09-06 11:16 -------- d-------- C:\Programme\Cenega
2006-09-06 10:41 94080 --a------ C:\WINDOWS\system32\drivers\ezplay.sys
2006-09-06 10:41 47360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2006-09-06 10:41 125 --a------ C:\Dokumente und Einstellungen\chris\Anwendungsdaten\YCJCPCNG.ini
2006-09-02 08:13 -------- d-------- C:\Dokumente und Einstellungen\chris\Anwendungsdaten\Media Player Classic
2006-09-02 08:12 -------- d-------- C:\Programme\Combined Community Codec Pack
2006-08-28 22:54 10875 --a------ C:\WINDOWS\system32\nicmgr.exe
2006-08-28 22:54 10664 --a------ C:\WINDOWS\system32\gan_adapter.sys


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"UpdReg"="C:\\WINDOWS\\UpdReg.EXE"
"AcronisTrueImage Monitor"="\"C:\\Programme\\Acronis\\TrueImage\\TrueImageMonitor.exe\""
"Acronis Scheduler2 Service"="\"C:\\Programme\\Gemeinsame Dateien\\Acronis\\Schedule2\\schedhlp.exe\""
"CTHelper"="CTHELPER.EXE"
"IAAnotif"="C:\\Programme\\Intel\\Intel Application Accelerator\\iaanotif.exe"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"QuickTime Task"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"TkBellExe"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"ISUSPM Startup"="C:\\PROGRA~1\\GEMEIN~1\\INSTAL~1\\UPDATE~1\\isuspm.exe -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"ATIPTA"="\"C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,02,00,00,00,00,00,00,00,02,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{0d9eb558-0666-479e-868a-21b1d1a53bd1}"="clamoring"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:000000b5
"NoDriveAutoRun"=hex:30,00,00,00

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"clamoring"="{0d9eb558-0666-479e-868a-21b1d1a53bd1}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Acrobat Assistant.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Acrobat Assistant.lnk"
"backup"="C:\\WINDOWS\\pss\\Acrobat Assistant.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~2.0\\Distillr\\AcroTray.exe "
"item"="Acrobat Assistant"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Gamma Loader.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Gamma Loader.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\GEMEIN~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "
"item"="Adobe Gamma Loader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader - Schnellstart.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Adobe Reader - Schnellstart.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader - Schnellstart.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Reader\\READER~1.EXE "
"item"="Adobe Reader - Schnellstart"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^ATI CATALYST System Tray.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\ATI CATALYST System Tray.lnk"
"backup"="C:\\WINDOWS\\pss\\ATI CATALYST System Tray.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\PROGRA~1\\ATITEC~1\\ATI.ACE\\CLI.exe SystemTray"
"item"="ATI CATALYST System Tray"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cli"
"hkey"="HKLM"
"command"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\cli.exe\" runtime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="C:\\Programme\\ATI Technologies\\ATI Control Panel\\atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NMBgMonitor"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Ahead\\lib\\NMBgMonitor.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\H2O]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="cledx"
"hkey"="HKLM"
"command"="C:\\Programme\\SyncroSoft\\Pos\\H2O\\cledx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="qttask"
"hkey"="HKLM"
"command"="\"C:\\Programme\\QuickTime\\qttask.exe\" -atboottime"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="steam"
"hkey"="HKCU"
"command"="\"c:\\programme\\valve\\steam\\steam.exe\" -silent"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-10-31 11:30:52.95
C:\ComboFix.txt ... 06-10-31 11:30

DOWN TEXT:



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC1E-0C96

Verzeichnis von C:\WINDOWS\Downloaded Program Files

09/06/2005 07:29 PM 65 desktop.ini
08/27/2005 01:30 PM 5,065 swflash.inf
06/16/2004 05:02 AM 323,584 isusweb.dll
07/25/2002 05:13 PM 24,576 dwusplay.dll
07/25/2002 05:13 PM 196,608 dwusplay.exe
5 Datei(en) 549,898 Bytes
0 Verzeichnis(se), 43,611,492,352 Bytes frei




SYSTEXT:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC1E-0C96

Verzeichnis von C:\

10/31/2006 11:40 AM 0 sys.txt
10/31/2006 11:40 AM 509 down.txt
10/31/2006 11:40 AM 117 tmp.txt
10/31/2006 11:38 AM 8,374 system.txt
10/31/2006 11:37 AM 133 systemtemp.txt
10/31/2006 11:34 AM 106,980 system32.txt
10/31/2006 11:30 AM 13,901 ComboFix.txt
10/31/2006 11:30 AM 2,145,386,496 pagefile.sys
09/20/2006 10:52 AM 211 boot.ini
09/08/2005 10:51 PM 93 temp.log
09/06/2005 07:30 PM 0 MSDOS.SYS
09/06/2005 07:30 PM 0 IO.SYS
09/06/2005 07:30 PM 0 AUTOEXEC.BAT
09/06/2005 07:30 PM 0 CONFIG.SYS
08/16/2004 07:22 PM 251,184 ntldr
08/16/2004 07:22 PM 47,564 NTDETECT.COM
08/16/2004 07:14 PM 4,952 bootfont.bin
17 Datei(en) 2,145,820,514 Bytes
0 Verzeichnis(se), 43,611,484,160 Bytes frei


system32.txt:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC1E-0C96

Verzeichnis von C:\WINDOWS\system32

12/08/2007 11:32 PM 344,064 msvcr70.dll
12/08/2007 11:32 PM 487,424 msvcp70.dll
12/08/2007 11:32 PM 87,040 Ra32sipr.dll
12/08/2007 11:32 PM 130,560 Pnc3250.dll
12/08/2007 11:32 PM 131,072 Pneng50.dll
12/08/2007 11:32 PM 352,768 pngu3263.dll
12/08/2007 11:32 PM 21,504 Ra32dnet.dll
12/08/2007 11:32 PM 81,920 Ra3214_4.dll
12/08/2007 11:32 PM 85,504 Encdnet.dll
12/08/2007 11:32 PM 487,936 rmbe3260.dll
12/08/2007 11:32 PM 61,952 Decdnet.dll
12/08/2007 11:32 PM 72,704 Ra3228_8.dll
10/31/2006 11:30 AM 1,080 settings.sfm
10/31/2006 11:30 AM 1,080 settingsbkup.sfm
10/31/2006 11:30 AM 384 DVCStateBkp-{00000004-00000000-00000001-00001102-00000004-20061102}.dat
10/31/2006 11:30 AM 384 DVCState-{00000004-00000000-00000001-00001102-00000004-20061102}.dat
10/31/2006 11:30 AM 30,528 BMXBkpCtrlState-{00000004-00000000-00000001-00001102-00000004-20061102}.rfx
10/31/2006 11:30 AM 30,528 BMXCtrlState-{00000004-00000000-00000001-00001102-00000004-20061102}.rfx
10/31/2006 11:30 AM 31,056 BMXStateBkp-{00000004-00000000-00000001-00001102-00000004-20061102}.rfx
10/31/2006 11:30 AM 31,056 BMXState-{00000004-00000000-00000001-00001102-00000004-20061102}.rfx
10/31/2006 01:02 AM 106,496 veklo.dll
10/31/2006 01:02 AM 4,286 ot.ico
10/31/2006 01:02 AM 4,286 ts.ico
10/29/2006 08:59 AM 311,604 perfh009.dat
10/29/2006 08:59 AM 39,992 perfc009.dat
10/29/2006 08:59 AM 356,120 PerfStringBackup.INI
10/29/2006 08:59 AM 46,456 perfc007.dat
10/29/2006 08:59 AM 313,318 perfh007.dat
10/14/2006 10:23 PM 469 Datei7
10/14/2006 10:23 PM 469 Datei5
10/14/2006 10:23 PM 467 Datei10
10/14/2006 10:23 PM 470 Datei3
10/14/2006 10:23 PM 468 Datei0
10/14/2006 10:23 PM 467 Datei9
10/14/2006 10:23 PM 470 Datei1
10/14/2006 10:23 PM 471 Datei4
10/14/2006 10:23 PM 471 Datei2
10/14/2006 10:23 PM 465 Datei6
10/14/2006 10:23 PM 467 Datei8
10/13/2006 01:59 PM 233,472 REX Shared Library.dll
09/26/2006 09:18 AM 2,206 wpa.dbl
09/22/2006 09:46 AM 136,464 FNTCACHE.DAT
09/01/2006 03:14 PM 65,536 QuickTimeVR.qtx
09/01/2006 03:14 PM 49,152 QuickTime.qts
08/28/2006 10:54 PM 10,664 gan_adapter.sys
08/28/2006 10:54 PM 1,629 gan_adapter.inf
08/28/2006 10:54 PM 10,875 nicmgr.exe
07/28/2006 08:30 AM 236,824 xactengine2_3.dll
07/28/2006 08:30 AM 62,744 xinput1_2.dll
06/11/2006 11:06 PM 57,384 avsda.dll
05/31/2006 06:24 AM 230,168 xactengine2_2.dll
03/31/2006 11:40 AM 2,388,176 d3dx9_30.dll
03/31/2006 11:39 AM 229,584 xactengine2_1.dll
03/31/2006 11:39 AM 62,672 xinput1_1.dll
02/09/2006 09:05 PM 520,192 ati2sgag.exe
02/09/2006 09:03 PM 307,200 atiiiexx.dll
02/09/2006 08:58 PM 256,512 ati2dvag.dll
02/09/2006 08:53 PM 114,688 atipdlxx.dll
02/09/2006 08:53 PM 77,824 Oemdspif.dll
02/09/2006 08:53 PM 26,112 Ati2mdxx.exe
02/09/2006 08:53 PM 40,960 ati2edxx.dll
02/09/2006 08:52 PM 61,440 ati2evxx.dll
02/09/2006 08:51 PM 405,504 ati2evxx.exe
02/09/2006 08:51 PM 53,248 ATIDDC.DLL
02/09/2006 08:44 PM 2,636,096 ati3duag.dll
02/09/2006 08:39 PM 860,352 ativvaxx.dll
02/09/2006 08:30 PM 6,684,672 atioglx1.dll
02/09/2006 08:29 PM 282,624 ATIDEMGR.dll
02/09/2006 08:27 PM 151,552 atikvmag.dll
02/09/2006 08:27 PM 17,408 atitvo32.dll
02/09/2006 08:27 PM 5,124,096 atioglxx.dll
02/09/2006 08:22 PM 258,048 ati2cqag.dll
02/03/2006 07:43 AM 2,332,368 d3dx9_29.dll
02/03/2006 07:42 AM 230,096 xactengine2_0.dll
02/03/2006 07:41 AM 14,032 x3daudio1_0.dll
01/21/2006 06:48 PM 23,392 nscompat.tlb
01/21/2006 06:48 PM 16,832 amcompat.tlb
01/13/2006 12:48 PM 114,630 atiicdxx.dat
01/12/2006 02:40 PM 155,648 NeroCheck.exe
01/02/2006 04:38 PM 260 DefPath.prf


SYTEMTXT:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC1E-0C96

Verzeichnis von C:\WINDOWS

10/31/2006 11:30 AM 0 0.log
10/31/2006 11:30 AM 1,089,536 WindowsUpdate.log
10/31/2006 11:30 AM 2,048 bootstat.dat
10/31/2006 11:27 AM 32,626 SchedLgU.Txt
10/30/2006 07:08 PM 116 NeroDigital.ini
10/30/2006 05:56 PM 54,156 QTFont.qfn
10/29/2006 10:48 AM 680,357 setupapi.log
10/29/2006 10:43 AM 10 WININIT.INI
10/28/2006 09:42 PM 1,409 QTFont.for
10/28/2006 07:25 PM 203,472 DirectX.log
10/28/2006 11:36 AM 155 winamp.ini
10/11/2006 08:33 PM 167 game.ini
09/20/2006 10:52 AM 477 win.ini
09/20/2006 10:52 AM 227 system.ini
09/20/2006 09:40 AM 324,180 ntbtlog.txt
08/24/2006 07:10 PM 49 wiaservc.log
08/24/2006 07:10 PM 311 wiadebug.log
08/24/2006 12:24 PM 87,618 wmsetup.log
08/18/2006 03:57 PM 2,573 DIFx.log
08/09/2006 01:00 PM 73,645 ntdtcsetup.log
08/09/2006 01:00 PM 463,836 iis6.log
08/09/2006 01:00 PM 115,866 comsetup.log
08/09/2006 01:00 PM 161,227 tsoc.log
08/09/2006 01:00 PM 14,978 tabletoc.log
08/09/2006 01:00 PM 18,582 ocmsn.log
08/09/2006 01:00 PM 4,507 imsins.log
08/09/2006 01:00 PM 24,356 MedCtrOC.log
08/09/2006 01:00 PM 210,318 ocgen.log
08/09/2006 01:00 PM 16,942 msgsocm.log
08/09/2006 01:00 PM 303,802 FaxSetup.log
08/09/2006 01:00 PM 56,497 netfxocm.log
08/09/2006 01:00 PM 121,368 msmqinst.log
08/09/2006 12:54 PM 1,891 imsins.BAK
07/08/2006 11:03 PM 770,048 TMUninst.exe
05/26/2006 11:20 AM 156,910 WMSysPr8.prx
01/30/2006 02:31 PM 951 OEWABLog.txt
01/21/2006 06:49 PM 379 wmsetup10.log
01/21/2006 06:47 PM 316,640 WMSysPr9.prx
12/01/2005 03:41 PM 6,311 Midisport 2x2 Setup Log.txt
12/01/2005 03:40 PM 724,992 iun6002.exe

SYSTEMTEMPTXT:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC1E-0C96

Verzeichnis von C:\DOKUME~1\chris\LOKALE~1\Temp



TMPTEXT:


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: FC1E-0C96

Verzeichnis von C:\WINDOWS\Temp



bitte helft mir ,, danke und gruss..chris.
Seitenanfang Seitenende
31.10.2006, 14:11
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 chris12

Download Registry Search by Bobbi Flekman
http://virus-protect.org/artikel/tools/regsearch.html
und doppelklicken, um zu starten. in: "Enter search strings" (reinschreiben oder reinkopieren)

VirusBursters

in edit und klicke "Ok".
Notepad wird sich oeffnen -- kopiere den Text ab und poste ihn.

________

http://virus-protect.org/artikel/tools/agentransack.html
schreibe in Suche: VirusBursters - und poste den text

___________________________________________________________


Avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere rein:

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{c3703265-4671-4858-92a4-cba6a7b3bb45}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D1F4FC78-B854-4F1E-BE00-C6915988CD90}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}
HKEY_CLASSES_ROOT\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}
HKEY_CLASSES_ROOT\CLSID\{0d9eb558-0666-479e-868a-21b1d1a53bd1}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D1F4FC78-B854-4F1E-BE00-C6915988CD90}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{8bf5b8fc-11cb-409f-8c91-4d4ca04a1b6d}

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{27321538-5739-4aa1-b84c-7d18e4383f1f}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{0d9eb558-0666-479e-868a-21b1d1a53bd1}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|VirusBursters

Folders to delete:
C:\Programme\VirusBursters
C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PG5KB65

Files to delete:
C:\WINDOWS\system32\veklo.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
poste das log vom avenger, was nach neustart erscheint
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 31.10.2006 um 14:24 Uhr von Sabina editiert.
Seitenanfang Seitenende
31.10.2006, 17:02
...neu hier

Themenstarter

Beiträge: 6
#3 super, danke fuer die schnelle antwort...
ich hatte in der zwischenzeit smitfraud,vundo und roquescanfix nach anleitung durchlaufen lassen + alle aktuellen windowssicherheitsupdates installiert.
dann war das ding auch in der taskleiste rechts unten verschwunden.


regsearchtxt:

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 10/31/2006 4:36:29 PM for strings:
; 'virusbursters'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_USERS\S-1-5-21-1409082233-1637723038-839522115-1003\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\VirusBursters\\virusbursters.exe"="Anti- spyware and adware"
"C:\\Programme\\VirusBursters\\uninst.exe"="VirusBurster Install"

; End Of The Log...



agtentransack zeigt nichts an (findet nichts) und avenger gibt nur fehlermeldungen (egal ob mit der manual oder der load txtfile methode) _ "error code 0, scheint kein valid registry eintrag zu sein" kann nicht ausgefuehrt werden.

was nun ? danke....chris. :-)
Seitenanfang Seitenende
31.10.2006, 17:59
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#4 versuche es mal damit

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring

Folders to delete:
C:\Programme\VirusBursters
C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PG5KB65

Files to delete:
C:\WINDOWS\system32\veklo.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico

__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
31.10.2006, 19:37
...neu hier

Themenstarter

Beiträge: 6
#5 alles klar,
mit dem letzen text hat avenger funktioniert und den trojaner nmkddaoy.sys geloescht. das entstandene txt file nach dem reboot ist allerdings leer. hab auch fehlerfrei den ersten text von dir (ohne die ersten 5 zeilen ausfuehren koennen) dann hat er den trojaner lwicsubb.sys geloescht----offenbar ist da ganz schoen viel zeugs auf meinem rechner . womit kann ich denn jetzt sicher scannen ob alles raus ist, was da nicht hingehoert?
hab jetzt 3 txt files im hauptverzeichnis C/ :

gxbxombv.txt

registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|ferrateen
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|clamoring

Folders to delete:
C:\Programme\VirusBursters
C:\Dokumente und Einstellungen\chris\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0PG5KB65

Files to delete:
C:\WINDOWS\system32\veklo.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico



dann noch lvdwopre.txt :

registry keys to delete:


HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D1F4FC78-B854-4F1E-BE00-C6915988CD90}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}



und noch navbhgfs.txt :

registry keys to delete:

HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{c3703265-4671-4858-92a4-cba6a7b3bb45}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{D1F4FC78-B854-4F1E-BE00-C6915988CD90}
HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{27321538-5739-4aa1-b84c-7d18e4383f1f}


tausend dank fuer dein hilfe !!!!!
Seitenanfang Seitenende
01.11.2006, 00:14
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#6 «
loesche das backup vom avenger unter c:\Avenger\backup.zip

«
ueberpruefe, ob das wirklich geloescht ist, denn das loesch-Log vom avenger sieht anders aus, als das, was du gepostet hast...
C:\WINDOWS\system32\veklo.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico

««
dann scanne und poste den report
http://virus-protect.org/artikel/tools/superantispyware.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2006, 13:17
...neu hier

Themenstarter

Beiträge: 6
#7 ok, hab jetzt mit superantispyware gescannt und nun:

SUPERAntiSpyware Scan Log
Generated 11/01/2006 at 12:28 PM

Application Version : 3.3.1020

Core Rules Database Version : 3118
Trace Rules Database Version: 1141

Scan type : Complete Scan
Total Scan Time : 00:18:52

Memory items scanned : 341
Memory Thread detected : 0
Registry items scanned : 4882
Registry Thread detected : 27
File items scanned : 35844
File Thread detected : 14

Unclassified.Oreans32
HKLM\System\ControlSet001\Services\oreans32
C:\WINDOWS\SYSTEM32\DRIVERS\OREANS32.SYS
HKLM\System\ControlSet002\Services\oreans32
HKLM\System\CurrentControlSet\Services\oreans32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32#NextInstance
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Service
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Legacy
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ConfigFlags
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Class
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#ClassGUID
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#DeviceDesc
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000#Capabilities
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\LogConf
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control
HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_OREANS32\0000\Control#ActiveService
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#Type
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#Start
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#ErrorControl
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#ImagePath
HKLM\SYSTEM\CurrentControlSet\Services\oreans32#DisplayName
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Security#Security
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#0
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#Count
HKLM\SYSTEM\CurrentControlSet\Services\oreans32\Enum#NextInstance

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\chris\Cookies\chris@www.mxcounters[2].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@tacoda[2].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@cgi-bin[1].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@2o7[2].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@ads.pointroll[2].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@fastclick[2].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@atdmt[1].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@doubleclick[1].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@adopt.euroclick[1].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@adserver.filefront[2].txt

Malware.VirusBurst
C:\SYSTEM VOLUME INFORMATION\_RESTORE{2ED9990F-F515-4A08-8525-69548155AB0C}\RP331\A0036990.EXE
C:\SYSTEM VOLUME INFORMATION\_RESTORE{2ED9990F-F515-4A08-8525-69548155AB0C}\RP331\A0037564.DLL

Malware.VirusBursters
C:\SYSTEM VOLUME INFORMATION\_RESTORE{2ED9990F-F515-4A08-8525-69548155AB0C}\RP331\A0037536.EXE



und dann noch mal im abgesicherten modus und dann:

SUPERAntiSpyware Scan Log
Generated 11/01/2006 at 01:04 PM

Application Version : 3.3.1020

Core Rules Database Version : 3118
Trace Rules Database Version: 1141

Scan type : Complete Scan
Total Scan Time : 00:17:49

Memory items scanned : 154
Memory Thread detected : 0
Registry items scanned : 4884
Registry Thread detected : 0
File items scanned : 27128
File Thread detected : 2

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\chris\Cookies\chris@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\chris\Cookies\chris@as1.falkag[1].txt




wahrscheinlich ist jetzt alles raus !! DANKE SABINA !
Seitenanfang Seitenende
01.11.2006, 15:03
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#8 poste noch mal das neue log vom HijackThis ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2006, 15:36
...neu hier

Themenstarter

Beiträge: 6
#9 yo!!



Logfile of HijackThis v1.99.1
Scan saved at 3:35:03 PM, on 11/1/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\2\virusss\old\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [AcronisTrueImage Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Application Accelerator\iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{91F6F3D9-CDAB-4C59-B1BB-9CC10F3D22BB}: NameServer = 192.168.1.1
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: IAA Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Application Accelerator\iaantmon.exe
Seitenanfang Seitenende
01.11.2006, 15:39
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#10 es ist alles wieder in Ordnung ;)
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
01.11.2006, 15:48
...neu hier

Themenstarter

Beiträge: 6
#11 tausend dank sabina ! you saved my day!
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: